Discussion :

[Hinault Romaric]

Une variante de ZeuS touche les PC avec un processeur de 2 Ghz
Ou plus, en exploitant le procédé des anti-virus


Une variante du cheval de troie ZeuS ne touchant que des ordinateurs ultra rapides vient d'être repérée par F-Secure.

ZeuS est un Trojan qui a beaucoup fait parler de lui.

Et qui risque de le faire encore plus.

En effet, la variante de ZeuS en question fonctionne sur des machines ayant un processeur de 2 Ghz ou plus.

Timo Hirvonen, analyste de sécurité chez F-Secure, affirme avoir testé l'échantillon sur un ordinateur portable IBM T42 avec un processeur de 1.86 Ghz. Le constat est que le système est trop lent pour permettre au malware d'infecter la machine.

En fait, le virus lors du début de son exécution, analyse la fréquence à laquelle la machine traite les données. S'il s'avère que cette fréquence est inférieure à 2Ghz, il met un terme à son exécution.

Les éditeurs d'antivirus et les professionnels utilisent la virtualisation et émule couramment des processeurs peu performant pour tester, analyser, débusquer les virus sur un systèmes. La nouvelle variante de Zeus exploite cette information et suppose qu'une fréquence faible trahit une phase de recherche d'un éventuel virus (pour des raisons de ressources de la machine hôte, les machines virtualisées ne sont pas les plus rapides), ce qui traduit l'arrêt de son exécution.

Une autre hypothèse est que cette variante cherche à se constituer un réseau de machine Zombie « haut de gamme » pour de futurs exploits demandant de fortes capacités de calcul. Un réseau HPC en quelque sorte.

Aucune mise à jour pour cette variante n'a encore été publiée.

La prudence est donc de mise si vous surfez avec des machines puissantes.


Source : Blog de F-Secure


Et vous ?

Que pensez-vous de ce nouveau malwares ?

En collaboration avec Gordon Fowler

[Paul TOTH]

La prudence est donc de mise si vous surfez avec des machines puissantes.

pour les autres, allez-y cliquez joyeusement sur toutes les pièces jointes qui passent

[GCSX_]

Que se passe-t-il si on règle une machine infectée pour que sé fréquence CPU passe en dessous des 2 GHz? (via le BIOS par exemple)

[Flaburgan]

C'est quand même la deuxième hypothèse qui me semble la plus plausible. C'est la première idée qui m'a traversé l'esprit en tout cas, limiter les machines infectées aux machines un minimum puissantes. Peut être qu'avoir des machines lentes à un impact négatif sur un réseau de botnet, selon comment celui-ci est constitué.

Quant-à limité la puissance du processeur, c'est tout à fait possible même en dehors du bios. Je suppose que les chercheurs qui ont découvert ça ont eu la curiosité d'essayer la manipulation de baisser la fréquence une fois le trojan installé. Quelle en a été la conclusion ?

[kaymak]

Que se passe-t-il si on règle une machine infectée pour que sé fréquence CPU passe en dessous des 2 GHz? (via le BIOS par exemple)

hello,

si on en suit ce qui est dit dans la news, c'est lors de l'infection que le teste est effectué.

Partant de là, si tu es sous le 2ghz lors de l'infection, tu ne seras pas infecté, passé cette étape, repasser l'ordinateur au dessus des 2ghz n'aura pas d'effet.
De la même manière si ton pc est au dessus, qu'il tente l'infection, il est infecté, le passé sous la barre des 2ghz n'y changera plus rien.

Moi ce que j'en pense c'est qu'ils ont tenté de se camoufler des machines virtuels.
Il n'y à pas de bonnes raisons pour chercher à forger un botnet de machine surpuissante, en termes de capacité de calcul.
En effet par définition, le botnet agrège plusieurs machines pour répartir la charge induite par la tâche à effectuer.

Hors mieux vaut charger 4 machines moyennes et paralléliser, plutôt que de blinder une seule machine, aussi monstrueuse soient elles. Sa ira plus vite.
A la rigueur, ce qui aurait pu être pertinent, c'est le nombre de coeur disponible.

Amha, si ils avaient voulu se faire un botnet très spécial on pourrait y trouver d'autres métriques, comme l'espace disque disponible, l'uptime, la qualité du lien.
Avec ces métriques, la machine individuelle est importante, puisque posé un serveur de warez (qui est un élément autonome) sur 10mo d'espace disque et un 56k, ce n'est pas pareil que de poser ce même serveur sur 1tera d'espace disque avec une t3 aux fesses.


'fin bref, c'est bizarre leur truc, je reste curieux des explications qui suivront peut être.

a +